Anto Veldre, RIA analüütik

Mujal maailmas kasutavad veebis kiipkaarti vaid lipsustatud riigiametnikud ning vahel harva ehk ka sõjaväelased – nemad ainukesena vajavad oma süsteemides nii turvalist sisenemisviisi.

Eesti oma e-ühiskonnaga on aga täiesti teistsugune riik. Meil on kiipkaart (ID-kaart) taskus nii tädi Maalil kui onu Voldemaril ning lihtsurelikud tegelikult oskavadki selle riistapuuga edukalt ringi käia. See on põhjus, miks meil siin suured kübervargused ja identiteedipettused on pea olematud.

Väga sageli pruugitakse ID-kaarti brauseri (ehk internetisirviku) kaudu. Iga kord, kui mõni
suurem tootja teeb suurema muudatuse internetisirvikus või operatsioonisüsteemis, tuleb meil Eestis selle muudatusega arvestada ning muudatus ID-kaardi ökosüsteemiga sobitada (mõningate kriitikute ideaalses maailmas käiksid maailma suurimad IT-firmad ise enne iga uuendust Eesti käest nõu küsimas, kuid olgem realistid!). Muudatustel on vaja silm hoolikalt peal hoida, kuniks ID-kaart muutub maailmas universaalseks ning suured IT-firmad ise hakkavad hoolitsema kiipkaardi liidestamise eest.

---

Sel suvel toimub suisa kaks otsapidi ID-kaardisse puutuvat uuenduslikku sündmust. Kõigepealt tuleb Microsoft 29. juulil välja Windows 10 nimelise uudistootega, milles sisaldub täiesti uus ja seninägematu brauser Edge (*). Õnnelikel kasutajatel tuleb ära õppida, et Internet Explorer paikneb nüüd Accessories/Tarvikud menüüs, õnnetutel teenuseomanikel aga üle kontrollida, et Edge’i ja IE vaheline teatepulga üleandmine ikka toimuks nagu välja reklaamitud.

Teise uudisena viib Google sügiseks lõpuni oma sirviku Chrome modifitseerimise, mistõttu veebiteenuste omanikud Eestis peavad ID-kaardiga allkirjastamise teenuseid pisut kohendama (installeerima hwcrypto.js nimelise teegi). Lihtkasutajale see umbes 15. augustil aset leidev muudatus koormust ei pane, küll aga teenuseomanikele.

Microsoft Edge ja ID-kaardi tugi

29. juulil avalikustab Microsoft kauaoodatud operatsioonisüsteemi Windows 10. Juba enne saabumist muutus see toode rahva seas populaarseks, sest võimaldab ka kõige hinnatundlikumal tarbijal (end Insaiderina registreerides) oma arvuti tasuta Windows 7 või 8 pealt uuemale versioonile uuendada. Arvata võib, et seda võimalust kasutavad Eestis päris paljud. Esialgu suunatakse Win 10 kodukasutajale, kuid ehk aasta pärast jõuab Windows 10 ka asutustesse ja firmadesse.

Kasulik on teada, et Microsoft korraldas interneti sirvimise pisut ringi. Senine Internet Explorer ei kao kusagile, kuid asub nüüdsest menüüs Tarvikud/Accessories, mistõttu päris esimesel korral võib IE leidmine osutuda pisut keeruliseks. ID-kaardi tugi IE-le jääb kenasti käima ning uuendusi selle kasutamises pole.

Uuendus on hoopis Edge brauser – täiesti uus internetisirvik, mis peaks aja jooksul IE rolli üle võtma. Eesti mure kirjeldub viisil, et Windows 10 koos Edge’iga on algusetapil suunatud põhiliselt ikka kodukasutajatele, sestap puudub ID-kaardi tugi – kuivõrd teistes riikides ja teistel turgudel tädi Maali kiipkaarti ei vaja. Microsoft on Edge’i puhul öelnud kindla JAHi ka kiipkaardi toele, kuid see saabub “pisut hiljem”.

Kasutajal on nüüd päris mitu võimalust:

• leida IE, tuua selle ikoon töölauale ning kasutada ID-kaardi jaoks IEd edasi nagu muiste,
• Edge’is juba avanenud veebilehele öelda – avane nüüd parem Internet Exploreris,
• minna selguse saabumiseni üle m-ID-le (mis teatavasti pole brauseritundlik),
• pruukida mõnda konkureerivat OSi (Mac, Linux) või sirvikut (Firefox, Chrome).

Võimalusi on palju, sestap ID-kaardi kasutamine seisma ei jää. Tehnikafriigile kõige põnevam võimalus on lausa revolutsiooniline:

• lasta Edge’il endal otsustada, millal juhtimine IE-le üle anda.

Edge peaks olema sedavõrd tark, et tunneb ise ära veebilehed, kus vajatakse ID-kaardiga sisselogimist ning kutsub sealkohas ise välja Internet Exploreri. Võimalik, et mõne e-teenuse sobitamiseks selle uue võimalusega tuleb omanikul siiski pisut ka HTTP päiseid timmida.

Autentimise (ehk sisselogimise) lisamine Edge’ile saab olema lihtne. Allkirjastamise (ehk signeerimise) lisandus kujuneb pisut ajamahukamaks, saades võimalikuks alles siis, kui Edge’ile saabub vastav lisamoodul (plugin, laiendus, extension). Võib oletada, et signeerimise lisakomponent saab olema Javaskripti põhine.

Google vs NPAPI

Vananenud tehnoloogia tuleb mingil hetkel välja vahetada. Küsimus vaid selles, et mida täpselt lugeda vanaks ning kui äkitselt saabub hetk. Saksamaal on terve ports linnasid, kuhu minu 20 aasta vanust ameerika autot saastekaalutlustel enam sisse ei lubata. Aastast 2016 on minu vanale autole näiteks suletud juba ka Pariis.

Ka internetimaailmas võib eristada tehnoloogilisi põlvkondasid. Aastal 1995 mõistis keegi, et paljasjalgse brauseriga Internetis suurt äri teha ei saa ning mõtles tollasele Netscape’ile juurde pluginate süsteemi. Kust saab brauser teada, et nüüd on vaja muusikat mängida? Aga palun, HTTP päistesse kirjutatakse “audio/mp3”. Juhul kui brauseril on helivõimeline plugin, siis just see käivitataksegi, selmet faili alla laadida.

Tehniline standard, millega lisamoodulid sirviku külge sobitati, sai nimeks NPAPI. Naljakas üle korrata, aga aasta oli siis 1995 (ning praegu on 2015). Seega pidas NPAPI standard vastu umbes 20 aastat, mida on IT ja interneti kohta ikka häbematult palju.

Paraku hakkas nii lihtne liidestamine ühel hetkel ohustama sellesama internetiäri turvalisust. Igasugused moodulid ja pluginakesed muudkui istutasid endid sirviku küürule ning tegid seal koledaid asju, näiteks luurasid rahaülekannete ja isikuandmete järele.

2013. a septembris otsustas Google, et NPAPI asendatakse uuema ja pisut kontrollituma tehnoloogiaga, mil nimeks Native Messages. Põhikaalutlus oli ikkagi turvalisus: et edaspidi ei saaks keegi sirviku seljas ratsutades andmeid pealt kuulata.

Pluginasõltuvuse teisest küljest on paraku vähem räägitud. Nimelt, kui sirviku poolel plugina-standard ringi teha, siis peavad ka info pakkujad (st serverid) esitama omi teenuseid pisut teisel kujul. NPAPI –> NativeMessages ülemineku hetkel peab serveriomanik omi teenuseid pisut kõpitsema.

Eesti eesrindliku riigna on säärastest tehnoloogiavahetusest märkimisväärselt mõjutatud, on ju Chrome brauseri turuosa hetkel vaid komakoha võrra alla 50%. Meie penetreeritus (mis paha sõna!) igasuguste e-teenustega, mida me ID-kaardi abil söögi alla ja peale tarbime, on sedavõrd suur, et brauserivahetus ei pruugi minna päris märkamatult.

Kodukasutaja poolel tehti edukas muudatus ära juba mais ning kajastasime seda ka oma blogis. Kuid juba augustis saabub Chrome ver 45 ja sellega sooritatav muudatus survestab nüüd serveriomanikku, kes enam ei saa teenuse uuendamist edasi lükata. E-riigi puhul tähendab uuendus, et ID-kaardi allkirjastamise tehnoloogia tuleb uuema vastu välja vahetada (ühildumaks juba sooritatud brauserimuudatustega). RIA on välja töötanud ja kasutamiseks tasuta kättesaadavaks teinud ühe uue teegi, nimeks hwcrypto. Kõik, kes tahavad, et nende e-teenuses töötaks allkirjastamine ka pärast Chrome 45 saabumist, peaksid nüüd oma veebiteenust pisut ajakohastama. Muide, jutt ei käi vaid avalikest teenustest, vaid ka töötajatele sisetarbimiseks mõeldud süsteemidest (töövood, puhkuseavaldused vms, kõik kohad, kus PIN2 abil allkirjastamine toimub ilma DigiDoc3 abita).

Häda neile, kes pole augustiks omi süsteeme hwcrypto peale uuendanud. Sest 15. augustil saabub Chrome 45 ja laiskus muutub kliendile nähtavaks.

Rõhk kliendisuhtel

Mõlemi muudatuse puhul saab oluliseks teenusepakkuja poolt kliendile osutatav tugi. Ennustatavalt hakkavad kliendid oma Edge’i ja Chrome 45 muudatuste tõttu helistama, kirjutama ning joonistama – et mis teil seal ikkagi lahti, et ID-kaart ei tööta. Tegelikult töötab ID-kaart nagu kulda, piisab vaid asjalikest selgitustest ja pisukesest käehoidmisest. Teenuseomanikel tuleb ülekoormuse perioodideks seega valmistuda ning planeerida oma kasutajatoele tavalisega võrreldes 2–3-kordne resurss.

* – Sirviku Edge varasem nimi (arendusprojekti vältel) oli Spartan.